De CFO leest mijn e-mails, mag dat?

Mijn vraag was dan ook of een leidinggevende zomaar naar de ICT afdeling kan stappen om toegang te krijgen tot een email account van een werknemer of een ondergeschikte? Ik was benieuwd naar het antwoord. In het verleden heb ik al eens met een situatie van gewichtige reden te maken gehad, waardoor inzage in een email account van een werknemer noodzakelijk was geworden, dus wilde ik mijn kennis over dit onderwerp opfrissen.

Wat zijn de dilemma’s als je een zakelijke email account van een ander wilt inzien?
Toen ik nadacht over deze vraag, kwam niet als eerste een antwoord, maar bleek mijn initiële vraag uiteen te vallen in meer vragen:
– Aan wie moet ik goedkeuring vragen om een email van een collega/medewerker in te zien? De CFO, de CEO of misschien wel de RvC, of kan ik gewoon naar de ICT afdeling gaan?
– Heeft de reden van mijn verzoek, een gewichtige of zwaarwegende reden, te maken met het feit of ik al dan niet goedkeuring kan krijgen?
– Wat kunnen zwaarwichtige redenen zijn? Zijn dat “het vermoeden van fraude, misbruik van gegevens of persoonlijke aanvallen, pesterijen, lastigvallen van collega’s”?
– Is er een wettelijk kader waar ik rekening mee moet houden, zoals bijvoorbeeld privacy wetgeving of briefgeheim?
– Heeft mijn bedrijf een policy of protocol voor het gebruik van zakelijke email en internet?
– Voorziet dat protocol in handelingen die verricht mogen/moeten worden bij het controleren van een e mail account bij verdenkingen van fraude?
– Mag ik ook het privé e- mail verkeer inzien van een werknemer?
– Kan ik hier het antwoord op mijn vragen krijgen?

Uiteraard is hier al veel over bekend. Ik zal de bekende zaken samenvatten.

Wat is toegestaan in de zakelijke omgeving?
Een werkgever moet altijd voldoen aan een aantal voorwaarden, voordat hij een email account mag controleren cq inzien. Zo moet de werkgever iedere werknemer vooraf informeren over de regels omtrent e-mail en internet gebruik in zijn organisatie.

In de informatie moet zijn opgenomen wat in het zakelijke e mail en internet verkeer is toegestaan en dat een controle op de inhoud van de zakelijke email account mogelijk is en onder welke omstandigheden de controle mag plaatsvinden. De werkgever moet uiteraard rekening houden met het recht op vertrouwelijke communicatie. Vooraf informeren is natuurlijk essentieel, omdat de medewerkers op de hoogte moeten kunnen zijn dat controles op email en internet verkeer mogen worden toegepast.

Heb je nog geen email en internet policy en ga je dit naar aanleiding van deze blog maken, zorg dan dat iedere werknemer die email en internet binnen je organisatie gebruikt, hiervan op de hoogte is. Breng bijvoorbeeld een update van het personeelsregelement of een apart protocol uit. Nieuwe werknemers krijgen deze regels natuurlijk bij indiensttreding al aangereikt. Laat ze deze regels vooral bevestigen.

Voordat deze regels in een bestaande organisatie worden geïntroduceerd moeten deze de goedkeuring dragen van de ondernemingsraad indien een organisatie aan de wettelijke omvang voor een ondernemingsraad voldoet. Zorg dat in het protocol de volgende zaken duidelijk zijn:
– wie moet toestemming verlenen,
– onder welke omstandigheden mag een controle plaatsvinden en
– wat moet worden vastgelegd als de controle wordt uitgevoerd.
– regel altijd getuigen van de controle.

De controle is een feit
Als de controle mag worden uitgevoerd, moet de controle natuurlijk in een redelijke verhouding staan tot de belangen van de werknemer. Bij gewichtige of zwaarwegende belangen van werkgever en toestemming van de verantwoordelijken zoals in het protocol zijn vermeld, moet het volstrekt helder zijn, waar wanneer en waarom de controle wordt uitgevoerd.

Deze regels gelden onverminderd voor het openen van een zakelijke email account van een reeds vertrokken medewerker. Je kan je voorstellen dat je in het protocol op kunt nemen dat je van een vertrokken verkoopmedewerker wilt onderzoeken of er geen vertrouwelijk klanteninformatie is weggelekt, of bij een boekhoudkundig medewerker dat er geen frauduleuze betalingsafspraken zijn gemaakt. Raadpleeg in dat geval altijd een jurist, voordat je de e mails opvraagt. Beter is nog om het protocol al bij voorbaat goed in te richten en dit type te definiëren. Vanzelfsprekend laat je een jurist kijken naar het protocol.

Tot slot moet, tenzij de ondernemingsraad instemming voor de controle heeft verleend in het protocol, de controle gemeld worden aan het College bescherming persoonsgegevens.

Conclusie
Controles mogen, mits je een protocol hebt of aan andere voorwaarden voldoet. Bij kleinere organisaties is er een meldingsplicht. Hebben jullie hier al over nagedacht in jullie organisatie, of hebben jullie er nog nooit mee te maken gehad?